Включение проверки подлинности сервера для SSL VPN
ООО «Цифровой Ангел»
![](/local/templates/digital-angel-new/img/elements/logo.png)
![](/local/templates/digital-angel-new/img/elements/logo.png)
Аутентификация сервера может защитить SSL-клиентов от атаки «злоумышленник в середине», гарантируя, что клиент подключается к запрашиваемому серверу. В качестве шлюза SSL VPN Vigor Router может также создать корневой центр сертификации (CA) для выдачи сертификатов сервера, необходимых для подключения SSL. Вы также можете экспортировать корневой ЦС и импортировать его в список доверенных ЦС на клиентских устройствах, чтобы они могли проверить подлинность сертификата. В этой статье рассказывается, как создать сертификат сервера для SSL VPN, как импортировать корневой ЦС в iOS и как импортировать корневой ЦС в телефоны Android.
Создание локального сертификата
1. Перейдите в раздел « System Maintenance >> Time and Date», чтобы убедиться, что настройки времени маршрутизатора верны, и что лучше соответствует часовому поясу клиента. Потому что при аутентификации личности сервера клиент проверяет, находятся ли текущее время и дата в пределах срока действия сертификата сервера.
![скриншот настроек времени и даты DrayOS](/help/draytek/pic/75640/1-time_settings.png)
2. Перейдите в раздел «Certificate Management >> Trusted CA Certificate , нажмите «Create Root CA» .
![снимок экрана со списком доверенных сертификатов ЦС DrayOS](/help/draytek/pic/75640/G57438_1.png)
3. Завершите следующую информацию:
- Выберите тип «None» для Subject Alternative Name
- Заполните содержимое, включая местоположение, организацию, имя и адрес электронной почты.
- Для большей безопасности выберите Key Size «2048 бит».
- Нажмите « Generate», чтобы сгенерировать корневой центр сертификации.
![скриншот сертификата корневого центра сертификации DrayOS](/help/draytek/pic/75640/Generate_Root_CA.png)
4. Создание корневого центра сертификации займет несколько минут. Подождите, пока статус не покажет ОК.
![снимок экрана со списком доверенных сертификатов ЦС DrayOS](/help/draytek/pic/75640/Root_CA_Status_OK.png)
5. Затем сгенерируйте локальный сертификат, это сертификат, который маршрутизатор отправит клиентам SSL VPN. Перейдите в Certificate Management >> Local Certificate и нажмите Generate.
![снимок экрана со списком локальных сертификатов DrayOS](/help/draytek/pic/75640/G57438_3.png)
6. Введите правильную информацию в поля ниже:
- Введите Certification Name
- В поле « Subject Alternative Name» выберите тип доступа VPN-клиентов к маршрутизатору, например, здесь мы выбираем IP-адрес.
- Введите IP-адрес WAN маршрутизатора в качестве IP- адреса . Это должен быть IP-адрес, который клиенты VPN используют для настроек своего сервера.
- Введите местоположение, организацию, общее имя (CN) и адрес электронной почты. CN должно совпадать с альтернативным именем субъекта, поэтому мы указываем здесь IP-адрес.
- Для большей безопасности выберите Key Size «2048 бит».
- Нажмите « Generate», чтобы создать локальный сертификат.
![снимок экрана с подробной информацией о локальном сертификате DrayOS](/help/draytek/pic/75640/generate_certificate_signing_request.png)
7. Подождите несколько минут, пока будет готов запрос на подпись, затем нажмите « Подписать», чтобы подписать сертификат с помощью корневого центра сертификации.
![снимок экрана со списком локальных сертификатов DrayOS](/help/draytek/pic/75640/sign_local_certificate.png)
8. Выберите дату истечения срока действия локального сертификата и нажмите « Sign » .
![снимок экрана, на котором DrayOS подписывает локальный сертификат](/help/draytek/pic/75640/G57438_6.png)
9. Убедитесь, что статус локального сертификата в порядке.
![снимок экрана со списком локальных сертификатов DrayOS](/help/draytek/pic/75640/local_certificate_status_OK.png)
10. Теперь мы можем использовать сертификат для SSL VPN. Перейдите в SSL VPN >> General Setup , выберите сертификат, созданный на предыдущем шаге для Server Certificate . Нажмите ОК, чтобы сохранить настройки.
![скриншот Общей настройки DrayOS SSL VPN](/help/draytek/pic/75640/G57438_7.png)
11. Теперь клиенты VPN могут использовать «Match Server Name» для проверки. То есть при установке SSL-соединения он проверит, совпадает ли доменное имя или IP-адрес в сертификате сервера с доменным именем или IP-адресом, к которому он подключается.
![скриншот настроек iOS VPN](/help/draytek/pic/75640/111.png)
Экспорт Root CA в iOS
1. После создания корневого ЦС в разделе « Certificate Management >> Trusted CA Certificate» нажмите « Export», чтобы загрузить RootCA. Затем отправьте его на клиентское устройство по электронной почте.
![снимок экрана со списком доверенных сертификатов ЦС DrayOS](/help/draytek/pic/75640/Exporting%20Root%20CA.png)
2. На клиентском устройстве откройте файл .crt.
![скриншот почтового ящика iOS](/help/draytek/pic/75640/Receive%20CA%20by%20mail.png)
3. Нажмите « Установить» и введите пароль, чтобы начать установку.
![скриншот профиля установки iOS](/help/draytek/pic/75640/Install%20Root%20CA.png)
4. Прочтите предупреждающее сообщение и нажмите « Установить» .
![скриншот профиля установки iOS](/help/draytek/pic/75640/warining.png)
5. После завершения установки вы увидите, что корневой ЦС подтвержден.
![снимок экрана с установленным профилем iOS](/help/draytek/pic/75640/CA%20verified.png)
6. На клиентских устройствах перейдите в Общие >> О программе >> Параметры доверия к сертификатам и включите установленный корневой ЦС.
![снимок экрана настроек доверия сертификатов iOS](/help/draytek/pic/75640/certificate%20trust%20settings.png)
7. Теперь мы можем использовать Verify RootCA для настроек проверки сертификата. То есть во время установления связи SSL устройство не только проверяет сертификат сервера, но и проверяет издателя сертификата. Он установит VPN только в том случае, если сервер предоставит сертификат, подписанный доверенным корневым центром сертификации.
Импорт RootCA на устройства Android
1. Загрузите Root CA
![скриншот загрузки Android Root CA](/help/draytek/pic/75640/Download%20Root%20CA.png)
2. Откройте файл .crt и используйте его для VPN и приложений, затем нажмите « ОК».
![скриншот загрузки Android Root CA](/help/draytek/pic/75640/Use%20for%20VPN.png)
На ваш e-mail было отправлено письмо с регистрационной информацией.
Пожалуйста, дождитесь письма, так как контрольная строка изменяется при каждом запросе.